ネットワークアクセス制御リスト (ACL) を使用すると、仮想プライベートクラウド (VPC) のアクセス制御を実装できます。 ネットワークACLルールを作成し、ネットワークACLをvSwitchに関連付けることができます。 これにより、vSwitchにアタッチされているElastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。
機能とサポート対象リージョン
エリア | リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、 中国 (南京-地方地域) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 中国 (香港) 、中国 (武漢-地方) 、中国 (福州-地方) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、オーストラリア (シドニー) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) 、インド (ムンバイ) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア) |
中東 | UAE (ドバイ) 、サウジアラビア (リヤド) 重要 SAU (リヤド) リージョンはパートナーによって運営されています。 |
特徴
ネットワークACLは、ネットワークACLが関連付けられているvSwitchにアタッチされているECSインスタンスのインバウンドおよびアウトバウンドネットワークトラフィックをフィルタリングするために使用されます。 Server Load Balancer (SLB) インスタンスによってECSインスタンスに転送されたネットワークトラフィックもフィルタリングされます。
説明次のシナリオでは、ECSインスタンスのネットワークトラフィックはネットワークACLによってフィルタリングされません。ECSインスタンスはセカンダリelastic network interface (ENI) に関連付けられ、セカンダリENIはelastic IPアドレス (EIP) に関連付けられています。 詳細については、「カットスルーモードでEIPをセカンダリENIに関連付ける」をご参照ください。
ネットワークACLはステートレスです。 トラフィックを許可するインバウンドルールを設定する場合は、対応するアウトバウンドルールも設定する必要があります。 そうしないと、システムは要求に応答しない可能性があります。
ルールを含まないネットワークACLを作成すると、すべてのインバウンドトラフィックとアウトバウンドトラフィックが拒否されます。
ネットワークACLがvSwitchに関連付けられている場合、ネットワークACLはvSwitchにアタッチされているECSインスタンス間で転送されるトラフィックをフィルタリングしません。
ネットワークACLでサポートされているDNSサーバーは、100.100.2.136/32および100.100.2.138/32です。 ネットワークACLでサポートされるメタサーバーは、100.100.100.200/32です。
説明
アウトバウンドルールとインバウンドルールを作成する前に、次のルールに注意してください。
ネットワークACLにルールを追加または削除した後、変更はネットワークACLに関連付けられたvSwitchに適用されます。
IPv6タイプのインバウンドルールまたはアウトバウンドルールを追加する前に、まずネットワークACLが属するVPCにIPv6 CIDRブロックを割り当てる必要があります。
IPv6ネットワークACLは、フィリピン (マニラ) リージョンでのみご利用いただけます。
DHCPオプションセットが設定されている場合は、信頼できるDNSサーバーのIPアドレスをインバウンドまたはアウトバウンドのルールに追加する必要があります。 ルールが追加されない場合、DHCPオプションセットに関連付けられたサービスが影響を受ける可能性があります。
ネットワークACLが属するVPCにIPv4 CIDRブロックとIPv6 CIDRブロックの両方が割り当てられている場合、次のデフォルトのインバウンドルールとアウトバウンドルールが使用されます。
優先順位が最も低い2つの拒否ルールが、各方向のシステムに対して作成されます。 ルールを変更または削除することはできません。
各方向のクラウドサービスに対して、優先度の高い3つの許可ルールが作成されます。 ルールを変更または削除することはできません。
各方向に2つのカスタム許可ルールが作成されます。 インバウンドルールとアウトバウンドルールは削除できます。 ルールを削除すると、VPCトラフィックが拒否される可能性があります。 作業は慎重に行ってください。
次の表に、デフォルトのルールを示します。
説明次の表のデフォルトのインバウンドルールとアウトバウンドルールは、フィリピン (マニラ) リージョンでのみ使用できます。 他のリージョンでは、IPv4タイプのカスタムルールが1つだけ作成されます。
デフォルトの受信ルール
優先度
プロトコル
送信元IPアドレス
宛先ポート範囲
Action
データ型
*
すべて
100.100.2.128/28
0:65535
許可
クラウドサービス
*
すべて
100.100.2.112/28
0:65535
許可
クラウドサービス
*
すべて
100.100.100.200/32
0:65535
許可
クラウドサービス
1
すべて
0.0.0.0/0
-1/-1
許可
Custom
2
すべて
::/0
-1/-1
許可
Custom
*
すべて
0.0.0.0/0
0:65535
拒否
System
*
すべて
::/0
0:65535
拒否
System
デフォルトの送信ルール
優先度
プロトコル
宛先IPアドレス
宛先ポート範囲
Action
データ型
*
すべて
100.100.2.128/28
0:65535
許可
クラウドサービス
*
すべて
100.100.2.112/28
0:65535
許可
クラウドサービス
*
すべて
100.100.100.200/32
0:65535
許可
クラウドサービス
1
すべて
0.0.0.0/0
-1/-1
許可
Custom
2
すべて
::/0
-1/-1
許可
Custom
*
すべて
0.0.0.0/0
0:65535
拒否
System
*
すべて
::/0
0:65535
拒否
System
ネットワークACLのルールには、次のパラメータが含まれます。
Priority: ルールの優先度。 値が小さいほど優先度が高くなります。 システムは、優先度の高い順に要求をルールと照合します。 ルール1は最も高い優先度を有する。 リクエストがルールと一致する場合、システムはルールをリクエストに適用し、他のルールを無視します。
たとえば、次のルールがネットワークACLに追加され、IPアドレス172.16.0.1宛てのリクエストがECSインスタンスから送信されます。 この場合、要求は規則2および3に一致する。 ルール2は、ルール3よりも高い優先度を有する。 したがって、システムはルール2を適用する。 ルール2のアクションに基づいて、要求は拒否される。
優先度
プロトコル
宛先IPアドレス
宛先ポート範囲
Action
データ型
1
すべて
10.0.0.0/8
-1/-1
許可
Custom
2
すべて
172.16.0.0/12
-1/-1
拒否
Custom
3
すべて
172.16.0.0/12
-1/-1
許可
Custom
Action: 特定のトラフィックに対して実行されるアクション。
Protocol: トラフィックのプロトコル。 有効な値:
ALLを選択した場合、ポート範囲を指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
ICMPこのプロトコルを選択した場合、ポート範囲は指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
GREこのプロトコルを選択した場合、ポート範囲は指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
TCPこのプロトコルを選択した場合、有効なポート番号は1〜65535です。 有効な形式: 1/200および80/80 値を -1/-1に設定しないでください。
UDP有効値: 1 ~ 65535。 有効な形式: 1/200および80/80 値を -1/-1に設定しないでください。
ICMPv6 ALLを選択した場合、ポート範囲を指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
送信元IPアドレス: インバウンドトラフィックが送信される送信元IPアドレス。 このパラメーターは、インバウンドルールを設定した場合にのみ使用できます。
宛先IPアドレス: アウトバウンドトラフィックが送信される宛先IPアドレス。 このパラメーターは、アウトバウンドルールを設定した場合にのみ使用できます。
宛先ポート範囲: インバウンドルールが適用される宛先ポートの範囲。
宛先ポート範囲: アウトバウンドルールが適用される宛先ポートの範囲。
ネットワークACLとセキュリティグループの比較
ネットワークACLは関連するvSwitchを介して送信されるデータを制御し、セキュリティグループは関連するECSインスタンスを介して送信されるデータを制御します。 次の表に、ネットワークACLとセキュリティグループの違いを示します。
項目 | ネットワークACL | セキュリティグループ |
適用範囲 | vSwitchを使用します。 | インスタンスでデータエクスポートスクリプトを実行します。データエクスポートスクリプトを実行します。 |
応答トラフィックのステータス | ステートレス: 返されるトラフィックは、インバウンドルールで許可する必要があります。 | ステートフル: 返されるトラフィックは自動的に許可され、ルールの影響を受けません。 |
ルールが評価されるかどうか | システムは、優先度の降順でルールに対して要求を照合します。 すべてのルールが一致するわけではありません。 | システムは、ルールが適用される前に、要求をすべてのルールと照合します。 |
ECSインスタンスとの関連付け | ECSインスタンスが属するvSwitchは、1つのネットワークACLにのみ関連付けることができます。 | 各ECSインスタンスは、複数のセキュリティグループに追加できます。 |
次の図は、ネットワークACLとセキュリティグループを適用してネットワークセキュリティを確保する方法を示しています。
制限事項
名前 | 説明 | デフォルト値 | 調整可能 |
vpc_quota_nacl_ingress_エントリ | ネットワークACLに追加できるルールの最大数 | 20 | 次のいずれかの方法を使用して、クォータの増加をリクエストできます。
|
vpc_quota_nacl_egress_エントリ | ネットワークACLに追加できるルールの最大数 | 20 | |
nacl_quota_vpc_create_count | 各VPCで作成できるネットワークACLの最大数 | 20 | 任意 |
N/A | ネットワーク ACL をサポートしない VPC | VPCに次のインスタンスファミリーのECSインスタンスが含まれている場合、VPCはネットワークACLをサポートしていません。 ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4。 詳細については、「高度なVPC機能」をご参照ください。 | Elastic Compute Service (ECS) インスタンスが高度な仮想プライベートクラウド (VPC) 機能をサポートしていない場合は、ECSインスタンスをアップグレードまたはリリースします。
説明 VPCに指定されたインスタンスファミリーのECSインスタンスが含まれ、ネットワークACL機能が有効になっている場合、ネットワークACLが期待どおりに機能するようにECSインスタンスをアップグレードまたはリリースする必要があります。 |
手順
詳細については、「ネットワークACLの作成と管理」をご参照ください。